[데일리시큐]北 김수키 해킹조직, 외교 사절단 겨냥 악성코드 공격…IT 인력 위장 침투로 320여 개 기업 피해

내용 요약

북한 연계 해커들이 외교 사절단을 대상으로 첩보 작전을 수행하며 GitHub를 악용하여 악성코드를 배포하고 감염된 시스템을 조종했습니다. 또한, 원격 IT 인력으로 위장하여 전 세계 기업에 침투했으며, 생성형 AI 도구와 노트북 팜을 활용하여 보안 방어를 우회했습니다.

핵심 포인트

• 북한 연계 해커들이 GitHub를 악용하여 악성코드를 배포
• 외교 공관 및 외교부 직원을 대상으로 스피어 피싱 공격 감행
• 원격 IT 인력으로 위장하여 전 세계 320개 이상의 기업에 침투
• 생성형 AI 도구와 노트북 팜을 활용하여 보안 방어를 우회

기술 세부 내용

1️⃣ GitHub 악용

• 북한 연계 해커들은 GitHub를 악성코드 배포 플랫폼으로 활용했습니다. 이는 합법적인 개발 플랫폼을 악용하여 악성 활동을 위장하고 탐지를 회피하는 전략입니다.

2️⃣ 스피어 피싱 (Spear Phishing)

• 외교 공관과 외교부 직원을 대상으로 최소 19건의 스피어 피싱 이메일이 발송되었습니다. 스피어 피싱은 특정 대상을 겨냥한 맞춤형 공격으로, 신뢰할 만한 발신인으로 위장하여 개인 정보를 탈취하거나 악성코드를 설치하도록 유도합니다.

3️⃣ 원격 IT 인력 위장

• 북한이 운영하는 또 다른 조직은 원격 IT 인력으로 위장하여 전 세계 320개 이상의 기업에 침투했습니다. 이는 사회 공학적 기법을 활용하여 기업 내부 시스템에 접근하고 정보를 탈취하는 방식입니다.

4️⃣ 생성형 AI (Generative AI) 도구 활용

• 해커들은 생성형 AI 도구를 활용하여 보안 방어를 우회했습니다. 구체적인 활용 방식은 명시되지 않았지만, AI를 사용하여 더욱 정교한 스피어 피싱 이메일을 작성하거나 악성코드 탐지를 회피하는 데 사용했을 가능성이 있습니다.

5️⃣ 노트북 팜 (Laptop Farm) 활용

• 해커들은 노트북 팜을 활용하여 보안 방어를 우회했습니다. 노트북 팜은 다수의 노트북을 동시에 사용하여 공격을 수행하거나 트래픽을 분산시키는 데 사용될 수 있습니다. 이를 통해 IP 주소 차단을 회피하고 공격의 규모를 확장할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168971